Abrir menu principal

Rootkit é uma coleção de software de computador, normalmente mal-intencionada, projetada para permitir o acesso privilegiado a um computador ou a uma área do software que não é permitida (por exemplo, a um usuário não autorizado). O termo rootkit é a junção da palavra "root" (do inglês raiz e nome tradicional da conta privilegiada de superusuário administrador em sistemas operacionais semelhantes a Unix) e a palavra "kit" (que se refere aos componentes de software que implementam a ferramenta). O termo "rootkit" tem conotações negativas através de sua associação com software malicioso. Uma das propostas desse programa é o uso para ocultar processos e arquivos específicos em algumas partes do sistema.[1]

ComportamentoEditar

O malware se integra a partes do sistema operacional para que não seja possível fazer a leitura do mesmo no disco rígido do computador. Assim dando a impressão que o mesmo não existe. Desta forma os antivírus não conseguem ler o código do malware para efetuar testes de detecção e identificar a ameaça. Outra função comum é camuflar seu processo de execução o fazendo rodar como uma thread em algum processo essencial do sistema, como o Explorer no Windows. Assim não podendo ser visualizado no gerenciador de tarefas e enganando profissionais na área de TI e sistemas de detecção menos avançados.[2]

InstalaçãoEditar

A instalação do rootkit pode ser automatizada, ou um invasor pode pessoalmente instalá-lo depois de obter acesso root ou de administrador. A obtenção desse acesso normalmente é resultado de um ataque direto em um sistema, ou seja, a exploração de uma vulnerabilidade conhecida (como escalonamento de privilégios) ou uma senha (obtida por táticas de cracking ou de engenharia social, como "phishing"). Uma vez instalado, torna-se possível ocultar a invasão, bem como manter o acesso privilegiado enquanto estiver instalado. A chave aqui é o acesso root ou administrador. Controle total sobre um sistema significa que o software existente pode ser modificado, incluindo o software que poderia ser usado para detectá-lo ou removê-lo.

Detecção e remoçãoEditar

A detecção de rootkits é difícil pois o próprio rootkit pode subverter o software que se destina a encontrá-lo. Os métodos de detecção incluem o uso de um sistema operacional alternativo e confiável, métodos baseados em comportamento, verificação de assinatura, verificação de diferenças e análise de despejo de memória. A remoção pode ser complicada ou praticamente impossível, especialmente nos casos em que o rootkit reside no kernel. A reinstalação do sistema operacional pode ser a única solução disponível para o problema.[3] Ao lidar com rootkits de firmware, a remoção pode exigir substituição de hardware ou equipamento especializado.

Referências